Nico Bekasinski - stock.adobe.co
Coût des cyberattaques en France : des estimations hasardeuses ?
Combien coûtent les cyberattaques à l’économie française ? En juin 2023, le cabinet Asterès estimait cela à 2 milliards d’euros. Mais la méthodologie retenue interroge, surtout compte tenu de la diversité des sources de données.
En juin 2023, le cabinet Asterès indiquait évaluer à 2 milliards d’euros le coût des cyberattaques « réussies sur les systèmes d’information des organisations françaises ».
Et de définir celles-ci « comme une intrusion (par exemple phishing, exploitation de faille), une attaque par rançongiciel ou une attaque par déni de service avérée dans le système d’information d’une organisation et ayant un impact opérationnel et/ou financier ».
Pour établir cette estimation, le cabinet s’est appuyé sur deux autres : 1,8 cyberattaque réussie en moyenne par organisation et par an, soit 385 000 en 2022, et un coût moyen de 59 000 € par attaque réussie.
Pour produire ces chiffres, Asterès s’est appuyé sur « la littérature et une enquête menée auprès des adhérents du CRiP ». Cinq études « ont été retenues » pour le volet littérature : le Cyber Readiness Report 2022 de Hiscox, l’édition 2023 du sondage OpinionWay auprès des membres du Cesin, une étude Kaspersky (sans lien fourni), des statistiques de CoveWare, et une étude de l’institut Ponemon pour Accenture.
Dans son étude, Asterès indique rapidement (page 6) que l’échantillon tiré du sondage des adhérents du CRiP n’a permis de représenter que 25 organisations, « dont 11 ont été victimes de cyberattaque(s) ». La représentativité de l’échantillon n’est pas discutée dans l’étude.
Combien de cyberattaques ?
Les études de Hiscox et du Cesin sont convoquées pour établir l’estimation du nombre d’attaques réussies subies par les entreprises, en moyenne, en 2022. Las, la question de la représentativité de l’échantillon considéré pour l’étude du Cesin, par rapport au tissu économique français, n’est pas évoquée : les résultats sont directement extrapolés sans redressement aucun à l’ensemble des organisations de l’Hexagone, quand bien même le Cesin lui-même précise que 50 % des répondants représentaient des grandes entreprises, et 39 % des ETI.
Les données de Hiscox sont plus détaillées, et s’appuient sur le sondage de plus de 900 responsables de la stratégie de cybersécurité de leur entreprise en France. Ce qui laisse à l’écart les organisations n’ayant pas même de tel responsable et introduit une zone d’ombre potentiellement bien large.
Asterès profite toutefois de la précision des données de Hiscox pour estimer à 43 % la part des organisations ayant été victimes d’au moins une cyberattaque réussie en 2022.
Pour Asterès, cette « moyenne pondérée » y voit une « cohérence » avec les chiffres du Cesin, même si… selon le cabinet, la moyenne, pour les ETI et les grandes entreprises – largement majoritaires dans l’échantillon du Cesin – la moyenne qu’il a établie monte à 65 %. La cohérence s’arrête là.
Mais les auteurs d’Asterès estiment toutefois que tout cela est « cohérent avec les données remontées à l’Anssi, d’après lesquelles les organisations publiques représentent près de la moitié des cyberattaques ». Là, c’est le panorama de la cybermenace de l’agence, pour 2022, qui est invoqué. Problème : il ne donne de répartition publique/privée que pour les cyberattaques avec ransomware, lesquelles ne représentent qu’une frange de périmètre considéré par le cabinet.
Pour le reste, mystère, donc. Mais si l’on en revient aux chiffres du Cesin, ce n’est pas anodin, car le rançongiciel n’est évoqué que par 22 % de ses répondants ayant subi au moins une cyberattaque. Là encore, donc parler de cohérence interroge.
La « démographie des entreprises, collectivités, administrations et établissements publics français » est toutefois convoquée pour aboutir à l’estimation de 385 000 cyberattaques réussies contre des organisations françaises en 2022, dont plus de 330 000 contre des PME.
Un esprit chagrin serait tenté de renvoyer à la très fantaisiste statistique selon laquelle la moitié des PME ne se relèvent pas d’une cyberattaque… Heureusement, cette statistique a été réfutée par ceux à qui elle est attribuée.
Pour quel coût ?
Pour estimer le coût moyen d’une cyberattaque, Asterès a choisi de s’appuyer sur les données des 25 organisations membres du CRiP représentées par son sondage et les données d’une étude Kaspersky non désignée par les auteurs. La plus approchante que nous avons trouvée est disponible ici même si des doutes subsistent : Kaspersky dit avoir sondé plus de 4 000 représentants d’entreprises dans 25 pays, quand Asterès parle de 5 500 entreprises dans 26 pays.
Kaspersky fournit, dans son étude, des coûts d’embauche d’experts externes, ou encore de communication, voire d’opportunités perdues, mais le manque de précision d’Asterès ne pernet pas de se pencher sur ce qui est effectivement pris en compte par le cabinet, quand bien même il parle de « services professionnels ».
Au final, Asterès estime à 25 600 € le coût direct d’une cyberattaque réussie. Vraisemblablement pas de quoi conduire beaucoup d’entreprises à faire faillite. C’est la bonne nouvelle.
Mais à cela s’ajoute le coût de la rançon éventuellement payée. Là, le cabinet s’appuie les observations de Coveware et une statistique de Hiscox selon laquelle 62 % des victimes françaises de ransomware en 2022 auraient cédé au chantage.
Au fil des ans, différentes observations ont suggéré que les grandes enseignes de ransomware parvenaient à se faire payer par un peu moins de 30 % de leurs victimes. Mais il faut compter avec tous les acteurs du rançongiciel qui ne font pas parler d’eux, avec des exigences parfois très basses, et qui n’ont vraisemblablement pas de grandes difficultés à obtenir le paiement.
L’édition 2021 de l’étude Hiscox sur la préparation cyber des entreprises suggérait déjà que 65 % des organisations frappées par ransomware, en France, payaient la rançon. Mais ce chiffre apparaissait très élevé, probablement trop pour être exact.
Dès lors, l’estimation de 25 700 € pour le coût de la rançon par cyberattaque réussie d’Asterès apparaît discutable. Et c’est tout aussi vrai pour celle du coût d’interruption d’activité.
Quelle valeur pour ces estimations ?
Celle-ci s’appuie en effet sur une étude de l’institut Ponemon pour Accenture. Problème : entre le moment où cette dernière a été réalisée, en 2018, et les travaux d’Asterès, la menace des rançongiciels a considérablement évolué, tant en volume qu’en typologie, avec des assaillants causant des dégâts bien plus considérables.
Asterès estime ainsi que 491 heures de travail sont perdues à l’occasion d’une cyberattaque réussie. Cela paraît bien peu en regard d’organisations mettant à minima des semaines, sinon des mois parfois, pour retrouver des conditions opérationnelles nominales.
Au final, si un tel effort d’estimation apparaît utile, les considérations méthodologiques, la variété des sources de données, et l’hétérogénéité de leur qualité interrogent sur leur validité. Tout en soulignant le besoin de travaux renouvelés et approfondis.